AppSec & DevSecOps Jobs
Открыть в Telegram
Канал с вакансиями AppSec и DevSecOps. Вилка для публикации обязательна. Контакт: @YakimovaNS Администрация оставляет за собой право сокращать описание вакансии Security Leadership Jobs: @seclead_job
Больше4 458
Подписчики
+824 часа
+247 дней
+9530 день
Архив постов
Взлом по подписке: ИИ-агенты против мобильных приложений
Экзотический фреймворк больше не спасает. Для взлома достаточно подписки на ИИ-агента. Стоимость атак упала, а скорость выросла.
2 июля в 14:00 Николай Анисеня, руководитель разработки PT MAZE, разберет, как сделать взлом вашего приложения невыгодным для злоумышленника, и поговорит о том:
→ Что изменилось в реверс-инжиниринге сегодня и почему это важно
→ Что агентский реверс умеет хорошо, а где пока буксует
→ Как остановить связку «агент + человек», пока она не дошла до вашего прода
И главное: в прямом эфире покажем, как агент атакует одно и то же приложение — без защиты и в броне PT MAZE.
Смотрите и делайте выводы.
🔗 Регистрация
Мок-интервью на позицию Senior AppSec Engineer:
https://youtu.be/pLm4dC4OiUA
Product Backstage: внутренняя кухня безопасной разработки
17 июня
Онлайн
Руководитель продуктов Сергей Синяков расскажет о важных обновлениях в PT Application Inspector и PT BlackBox: архитектурных изменениях платформы, новом ML-поиске вредоносного кода MOLOT, продвинутой защите 1С, управлении очередью сканирований и динамическом краулере для современных веб-приложений в PT BB.
Руководитель разработки PT Container Security Никита Ладошкин расскажет о безопасности контейнеров на всех этапах жизненного цикла — от наглядного разбора инцидентов до контроля кластера. И поделится новыми возможностями продукта: мониторинге через Grafana, поддержке пользовательских событий, визуализации карты Kubernetes-кластера.
📝Зарегистрироваться
Senior Application Security, WMX
ЗП: 350-450к net
WMX — российский разработчик решений в области кибербезопасности. Уже более 12 лет мы создаем продукты для защиты веб-приложений, API и цифровых сервисов. Сейчас мы усиливаем экспертизу в области безопасности собственных продуктов и ищем Senior AppSec Engineer, который будет участвовать в развитии практик безопасной разработки, помогать командам принимать безопасные архитектурные решения и влиять на качество защиты продуктов на всех этапах жизненного цикла.
Чем заниматься:
- Проводить архитектурные ревью и моделирование угроз как для текущих, так и для новых сервисов и функциональностей.
- Проводить анализ защищенности приложений, API и бизнес-логики.
- Выявлять риски безопасности и помогать командам находить оптимальные способы их устранения.
- Развивать практики Secure SDLC совместно с командами разработки и DevOps.
- Работать с результатами AppSec-инструментов (SAST, DAST, SCA) и процессом управления уязвимостями.
- Участвовать в аудитах, сертификационных активностях и развитии требований безопасной разработки.
Требования:
- Опыт работы в AppSec / Product Security от 4 лет.
- Опыт проведения архитектурных ревью и threat modeling.
- Хорошее понимание OWASP Top 10, OWASP API Top 10, CWE.
- Опыт работы с AppSec-инструментами (SAST, DAST, SCA).
- Понимание принципов Secure SDLC и современных подходов к безопасной разработке.
- Опыт взаимодействия с командами разработки.
- Способность анализировать код и понимать типовые уязвимости современных приложений.
Будет плюсом:
- Опыт работы с Kubernetes, Docker, Terraform и облачными платформами.
- Опыт интеграции инструментов безопасности в CI/CD.
- Опыт подготовки продуктов к сертификации ФСТЭК.
Процедура отбора:
HR скрининг-->Fit интервью-->Tech интервью-->СБ-->Offer
Уровень: Middle+/Senior
Формат: офис/гибрид
Контакт: @Dante2707
Repost from Security Leadership Jobs
Руководитель направления безопасности облака, IT аккредитованный облачный провайдер
ЗП: от 400 до 550 000 гросс
Обязанности:
Использование платформенных сервисов безопасности облака;
Формирование и внедрение secure-by-default настроек для используемых облачных сервисов;
Разработка security baselines для всех используемых облачных сервисов;
Формирование и контроль требований кибербезопасности по использованию облачных сервисов;
Участие в миграции информационных систем компании в облако;
Выявление потенциальных векторов атак в облачных сервисах;
Создание автоматизированных проверок безопасности конфигураций в облаке;
Взаимодействие с командами кибербезопасности, отвечающих за наложенные средства кибербезопасности;
Постоянно повышать защищенность инфраструктуры, размещенной в облаке;
Выступать заказчиком новых функций кибербезопасности;
Управление группой инженеров направления (2-3).
Требования:
Опыт работы с облачными платформами (AWS, Azure, GCP,Yandex) - от 3-х лет;
Знание протоколов аутентификации и авторизации OAuth 2.0, OIDC, SAML, и т.д.;
Опыт работы с IAM решениями (облачных провайдеров или on-premise);
Опыт работы с Kubernetes и контейнеризацией на уровне пользователя.
Знание и опыт использования подхода Infrastructure as Code (Terraform, CloudFormation);
Опыт с CI/CD pipeline security;
Понимание OWASP Top 10;
Понимание принципов устройства REST/gRPC API;
Управление целями, управление командой.
Технические навыки:
Языки программирования: Python, Go, Bash;
Мониторинг: Prometheus, Grafana, ELK Stack.
Желательные навыки:
Сертификации: AWS Security Specialty, CISSP, CCSP;
Опыт с compliance frameworks (ISO 27001, PCI DSS);
Знание threat modeling и risk assessment.
Опыт в области DevSecOps.
Контакты: @oh_my_nerdy
Repost from Security Leadership Jobs
Руководитель направления безопасности контейнерных сред, IT аккредитованный облачный провайдер
ЗП: от 400 до 650 000 гросс
Обязанности:
Организация анализа защищенности средств контейнеризации.
Взаимодействовать с командами разработки Managed Kubernetes, PaaS.
Настройкой и разработкой Pod Security Policies, RBAC и Network Policies в Kubernetes.
Участие в разработке и реализации безопасных архитектурных решений в контексте k8s.
Внедрение средств защиты и мониторинга кибербезопасности для контейнерных сред.
Отвечать за рекомендации по харденингу инфраструктуры контейнерных сред публичного и частного облаков компании.
Требования:
Опыт внедрения и эксплуатации систем защиты класса Container Platform Security.
Экспертные знания Linux и его аспектов безопасности.
Владение инструментами IaC.
Опыт настройки механизмов защиты k8s (RBAC, Pod Security Policies, Network Policies).
Опыт в роли DevSecOps, DevOps или в смежных областях от 4 лет.
Опыт управления аналогичной командой от 1 года
Контакты: @oh_my_nerdy
Principal Security Engineer (DRI), TaxDome
Format: It’s a fully remote role, we are hiring across European timezones.
Candidates must be based outside Russia and Belarus
About this role
We’re looking for a Principal Security Engineer (DRI) to join our Engineering organization and own application security across TaxDome’s platform during our AI-first engineering transformation. In this role, you’ll define and build the security model for AI-generated software delivery, embed security into product development and release gates, and directly impact product safety, platform resilience, and customer trust.
What you’ll be responsible for
- Own and drive the Application Security workstream as the security DRI across all Domains and Pods.
- Build automated security controls across the delivery loop, including secret scanning, SAST, SCA, IaC, container, dependency, and DAST gates.
- Embed security into product discovery, threat modeling, acceptance criteria, and architecture decisions.
- Define controls for AI-generated code, including dependency risk, tenant isolation, prompt injection, agent misuse, and risky migrations.
- Own the security reviewer AI agent and improve its detection quality, escalation logic, and coverage.
- Partner on incident response, supply chain security, secrets management, and compliance-related technical controls.
- Raise security maturity through practical guidance, reusable rules, and developer education.
What you bring
Must-have
- 7+ years in Application/Product Security, including senior IC ownership at Staff/Principal level or equivalent.
- Experience securing multi-tenant SaaS products handling sensitive or regulated data.
- Strong hands-on background in DevSecOps and CI/CD security automation.
- Practical experience with AI/LLM security risks and controls.
- Ability to review code and work closely with engineering across modern backend/platform stacks.
- Strong written communication in English and Russian, with clear ownership and the ability to influence others.
Nice-to-have
- Experience leading security through major engineering transformations such as AI-first, cloud, microservices, or platform-scale change.
- Background in fintech, tax, payments, or other heavily regulated environments.
- Experience building or operating security-focused AI agents in production.
- Strong AWS/GCP, Kubernetes, and cloud/runtime security expertise.
To apply: https://careers.taxdome.com/v/204934-principal-security-engineer-dri
Contacts: @Kate_bell
Application Security Business Partner (Application Security Engineer)
Компания: EMCD (emcd.io), международная крипто-финтех компания и один из крупнейших майнинг-пулов.
ЗП: в рамках 6к$
Формат: удалёнка, любая локация
Что предстоит делать:
— Работать с командами разработки и влиять на безопасность продуктов.
— Анализировать требования и их влияние на security.
— Делать threat modeling и предлагать решения.
— Проводить security review архитектуры, кода и релизов.
— Контролировать устранение уязвимостей.
— Встраивать security в CI/CD вместе с DevSecOps.
Что важно:
— От 3-х лет опыта в application security.
— Понимание OWASP Top 10 / Mobile Top 10 / CWE.
— Опыт работы со стандартами (OWASP ASVS, WSTG).
— Понимание инфраструктуры, контейнеризации.
— Опыт разработки на Go/Python/JS) - плюс
Контакты: @AlesyaRecruiter
Почему бизнес выбирает багбаунти 🤑
Уязвимости есть у всех. Вопрос — кто найдет их первым: те, кто может нанести бизнесу ущерб, или те, кто даст вам время их устранить.
Запуск своей программы багбаунти — поиска уязвимостей с помощью багхантеров — уже выбрали сотни компаний, среди которых Apple, Google, Wildberries, Ozon и VK. Но этот путь подходит не только огромным корпорациям, но и малому и среднему бизнесу, которые только начинают выстраивать процессы безопасности.
И дело не в формальности — это экономически обоснованный подход: найти уязвимость заранее и заплатить за это багхантерам дешевле, чем получить убытки в результате реальной кибератаки.
🎤 О том, как подготовиться к запуску и встроить багбаунти в процессы безопасности, расскажем на вебинаре 5 мая в 14:00.
Вы узнаете:
• как встроить багбаунти в стратегию AppSec и риск-менеджмента;
• в каких сценариях программа дает максимальную экономию и высокий ROI;
• как масштабировать программу и привлекать топовых исследователей на рынке.
Эфир будет полезен и тем компаниям, которые уже вышли на багбаунти, и тем, кто еще только задумывается о запуске собственной багбаунти-программы.
Регистрируйтесь на вебинар, чтобы узнать, как использовать багбаунти с выгодой для бизнеса 💵
AppSec инженер
ЗП: до 350 000 на руки
Формат работы: Удаленка/гибрид
Занятость: полная, график 5/2
Условия: Оформление в штат по ТК
О нас:
Мы — единый оператор данных всего Транспортного комплекса Москвы. Наша цель — создавать умные и удобные цифровые продукты, которые делают городскую среду безопаснее и комфортнее для пассажиров и водителей. В нашем центре работает более 350 сильных профессионалов, увлеченных технологиями и данными.
Кого ищем:
Опытного инженера по безопасной разработке (AppSec) от 3+ лет, который умеет внедрять процессы, а не просто искать уязвимости.
Чем предстоит заниматься:
- Внедрять и развивать Secure SDLC
- Настраивать SAST / DAST / SCA и встраивать их в CI/CD
- Участвовать в проектировании архитектуры (security-by-design)
- Писать требования безопасности для новых сервисов
- Анализировать уязвимости и контролировать их закрытие
- Ставить задачи разработке и доводить до исправления
- Проводить threat modeling (моделирование угроз)
- Создавать регламенты и инструкции
- Обучать разработчиков: ревью, консультации
- Взаимодействовать с DevOps по интеграции security в CI/CD
Что нужно:
Опыт в AppSec / безопасной разработке от 3 лет.
Знание Secure SDLC, OWASP Top 10.
Практика с SAST / DAST / SCA.
Понимание CI/CD, архитектуры веб-приложений и API.
Опыт анализа кода и threat modeling.
Умение говорить с разработчиками на их языке.
Контакты: Telegram: @Alina_Bortko
Senior Application Security Engineer, Breef Agency (проект - один из крупных сервисов доставки еды в России)
ЗП: 450.000-508.000 gross
Формат работы: Удаленка из РФ
Занятость: полная, график 5/2
Условия: Оформление по договору ИП/самозанятости/штат по ТК
Вам предстоит:
-Внедрение и сопровождение инструментов анализа безопасности (SAST, DAST, SCA, Secret Detection) в CI/CD;
-Экспертный анализ отчетов сканирования и подготовка рекомендаций по устранению уязвимостей;
-Проведение триажа результатов, управление ложноположительными срабатываниями и приоритизация задач;
-Построение и развитие процессов SSDLC, интеграция security-гейтов в жизненный цикл разработки;
-Проведение обучений и консультаций для команд разработки, подготовка методических материалов.
Мы ожидаем что у Вас есть опыт:
-Опыт AppSec Engineer 5+ лет;
Контакты: @kriskrisych (Кристина)
Инженеры перебрали... Linux-кейсов 🤩
23 апреля K2 Cloud и K2Тех проведут онлайн - митап — pебята будут разбирать реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами.
А ещё можно принести свой кейс на разбор и получить приз.
Подробности и регистрация по ссылке.
Application Security Business Partner (Application Security Engineer)
Компания: EMCD (emcd.io), международная крипто-финтех компания и один из крупнейших майнинг-пулов.
ЗП: в рамках 6к$
Формат: удалёнка, не РФ/РБ
Что предстоит делать:
— Работать с командами разработки и влиять на безопасность продуктов.
— Анализировать требования и их влияние на security.
— Делать threat modeling и предлагать решения.
— Проводить security review архитектуры, кода и релизов.
— Контролировать устранение уязвимостей.
— Встраивать security в CI/CD вместе с DevSecOps.
Что важно:
— От 4-х лет опыта в application security.
— Понимание OWASP Top 10 / Mobile Top 10 / CWE.
— Опыт работы со стандартами (OWASP ASVS, WSTG).
— Понимание инфраструктуры, контейнеризации.
— Опыт разработки на Go/Python/JS) - плюс
Контакты: @AlesyaRecruiter
DevSecOps
Компания: Продуктовое ИТ-ДЗО телекоммуникационной компании
ЗП: от 250к до 400к руб gross
Локация: Москва, Санкт-Петербург
Формат работы: удаленно
Чем предстоит заниматься:
Автоматизация сетевых политик: IaC для WAF/OPA в CI/CD, покрытие 100% ingress
Защита runtime: детекция аномалий трафика (eBPF, Istio), mTLS по умолчанию
Мониторинг и реагирование: интеграция сетевых алертов в SIEM, DORA-метрики для сети
Интеграция SAST/SCA/DAST в CI/CD (GitLab/Jenkins), включая WAF-checks на ingress
Настройка сетевой защиты: NGINX/ModSecurity WAF, Istio/Cilium для mTLS, rate-limit в K8s
Автоматизация политик: OPA Gatekeeper, IaC-сканирование (Checkov) для сетевых шаблонов Terraform
Развертывание eBPF-мониторинга (Luntry/Falco) для аномалий трафика и контейнеров
Поддержка SSDLC: обучение команд, threat modeling, контроль compliance (ФСТЭК/NIST)
Оптимизация: мониторинг MTTR/DORA, тюнинг WAF-правил, снижение FP в алертах
Требуемые знания и опыт:
CI/CD:
GitLab / Jenkins
IaC (Terraform / Ansible с Checkov)
Security:
OWASP Top 10
SAST / DAST / SCA (SonarQube, ZAP)
secrets / Vault
Контейнеры и K8s:
Docker, Helm
Trivy
OPA / Kyverno
Сети:
WAF (NGINX / ModSecurity)
Istio / Cilium для mTLS и rate-limit
eBPF (Luntry)
Автоматизация:
Python / Go скриптинг
policy-as-code
Мониторинг:
Prometheus, Grafana
SIEM (ELK / Splunk)
Анализ и безопасность:
Threat modeling
Compliance (ФСТЭК, NIST CSF)
Опыт взаимодействия Dev / Ops / Sec, обучение security champions
Контакты: @w_winner
Эксперт по защите периметра (WAF) в IT аккредитованную компанию.
ЗП: от 250 до 450 тыс. руб. gross.
Чем предстоит заниматься:
• Анализ защищенности информационных систем и участие в проектировании технических решений по кибербезопасности и защите периметра
• Проведение работ по пуско-наладке, испытаниям и вводу в эксплуатацию оборудования и программного обеспечения защиты периметра
• Поддержание работоспособности средств защиты периметра, взаимодействие с поставщиками оборудования, программного обеспечения и услуг по защите периметра
• Выполнение работ в рамках процесса компании по учету и выводу сервисов на периметр
Мы ожидаем:
• Опыт внедрения и эксплуатации Web-приложений средствами WAF (Wallarm, PT AF, ect).
• Администрирование средств межсетевого экранирования и предотвращения вторжений NGFW/IPS (желательно).
• Эксплуатация инструментальных средств поиска уязвимостей (желательно).
Контакты: @it_fairy
Repost from Security Leadership Jobs
Руководитель направления безопасности облака, IT аккредитованный облачный провайдер
ЗП: от 400 до 550 000 гросс
Обязанности:
Использование платформенных сервисов безопасности облака;
Формирование и внедрение secure-by-default настроек для используемых облачных сервисов;
Разработка security baselines для всех используемых облачных сервисов;
Формирование и контроль требований кибербезопасности по использованию облачных сервисов;
Участие в миграции информационных систем компании в облако;
Выявление потенциальных векторов атак в облачных сервисах;
Создание автоматизированных проверок безопасности конфигураций в облаке;
Взаимодействие с командами кибербезопасности, отвечающих за наложенные средства кибербезопасности;
Постоянно повышать защищенность инфраструктуры, размещенной в облаке;
Выступать заказчиком новых функций кибербезопасности;
Управление группой инженеров направления (2-3).
Требования:
Опыт работы с облачными платформами (AWS, Azure, GCP,Yandex) - от 3-х лет;
Знание протоколов аутентификации и авторизации OAuth 2.0, OIDC, SAML, и т.д.;
Опыт работы с IAM решениями (облачных провайдеров или on-premise);
Опыт работы с Kubernetes и контейнеризацией на уровне пользователя.
Знание и опыт использования подхода Infrastructure as Code (Terraform, CloudFormation);
Опыт с CI/CD pipeline security;
Понимание OWASP Top 10;
Понимание принципов устройства REST/gRPC API;
Управление целями, управление командой.
Технические навыки:
Языки программирования: Python, Go, Bash;
Мониторинг: Prometheus, Grafana, ELK Stack.
Желательные навыки:
Сертификации: AWS Security Specialty, CISSP, CCSP;
Опыт с compliance frameworks (ISO 27001, PCI DSS);
Знание threat modeling и risk assessment.
Опыт в области DevSecOps.
Контакты: @oh_my_nerdy
Repost from Security Leadership Jobs
Руководитель направления безопасности контейнерных сред, IT аккредитованный облачный провайдер
ЗП: от 400 до 650 000 гросс
Обязанности:
Организация анализа защищенности средств контейнеризации.
Взаимодействовать с командами разработки Managed Kubernetes, PaaS.
Настройкой и разработкой Pod Security Policies, RBAC и Network Policies в Kubernetes.
Участие в разработке и реализации безопасных архитектурных решений в контексте k8s.
Внедрение средств защиты и мониторинга кибербезопасности для контейнерных сред.
Отвечать за рекомендации по харденингу инфраструктуры контейнерных сред публичного и частного облаков компании.
Требования:
Опыт внедрения и эксплуатации систем защиты класса Container Platform Security.
Экспертные знания Linux и его аспектов безопасности.
Владение инструментами IaC.
Опыт настройки механизмов защиты k8s (RBAC, Pod Security Policies, Network Policies).
Опыт в роли DevSecOps, DevOps или в смежных областях от 4 лет.
Опыт управления аналогичной командой от 1 года
Контакты: @oh_my_nerdy
Repost from Security Leadership Jobs
Руководитель безопасной разработки ПО, "Атом Безопасность" (аккредитованная IT-компания)
ЗП: 250 000 – 400 000 ₽ net (на руки)
Локация: Удалённо / Гибрид / Офис (Новосибирск)
Опыт: от 5 лет
Чем предстоит заниматься:
🔹Стратегия: Внедрение и развитие сквозных процессов безопасной разработки (РБПО) по всей компании. Создание стандартов и регламентов.
🔹Регуляторы: Подготовка к сертификации по требованиям ФСТЭК
🔹Управление: Руководство отделом РБПО, управление бюджетом, KPI, ресурсами и рисками.
Почему это важно: Нужно не просто поддерживать процесс, а строить его с нуля, внедрять культуру безопасности и проходить проверки регуляторов.
Мы ищем человека, который:
🔹Имеет опыт управления командой от 2 лет (ИБ, РБПО, разработка).
🔹Успешно проводил аудиты и сертификацию по стандартам ФСТЭК.
🔹Понимает жизненный цикл ПО, моделирование угроз и рисков.
🔹Готов быть драйвером изменений и преодолевать сопротивление.
Будет плюсом:
🔹Опыт в разработке СЗИ или в регулируемых сферах (финтех, госсектор, телеком).
🔹Знание нормативной базы: ФСТЭК, ГОСТы, законы о КИИ.
Контакт для отклика: @paramonova_me
Application Security Еngineer (AppSec), "Атом Безопасность" (аккредитованная IT-компания)
ЗП: 200 000 – 400 000 ₽ net (на руки)
Локация: Удалённо / Гибрид / Офис (Новосибирск)
Опыт: от 3 лет
Чем предстоит заниматься:
Анализ и автоматизация
🔹Ручной и автоматизированный поиск уязвимостей, верификация и эскалация критических проблем.
🔹Настройка SAST/DAST/SCA инструментов под C/C++/Rust/JS/Python.
🔹Внедрение фаззинга, анализ бинарных файлов, кастомизация правил анализа.
Интеграция в процессы разработки
🔹Разработка безопасных шаблонов (Dockerfile, .gitlab-ci.yml, конфигурации компиляторов).
🔹Настройка security gateway в CI/CD: правила для MR, уведомления, отчёты.
🔹Консультирование разработчиков по безопасному коду, разбор уязвимостей.
Архитектура и соответствие требованиям
🔹Помощь в архитектурном ревью новых компонентов, моделирование угроз.
🔹Определение поверхностей атаки по требованиям ФСТЭК.
Мы ждём, что вы:
🔹Имеете опыт от 3 лет в разработке на C/C++/Rust или JavaScript/TypeScript/Python или в анализе защищённости приложений.
🔹Умеете настраивать инструменты анализа согласно методики ФСТЭК
🔹Знаете экосистемы пакетных менеджеров.
🔹Владеете инструментарием AppSec: SAST/DAST/SCA/ASOC, опыт с LLM для триажа уязвимостей.
Контакт для отклика: @paramonova_me
+4
Инженеры, архитекторы и ИТ-руководители! 🩵
Работаете с облаками, инфраструктурой или платформенными сервисами?
☁️☁️☁️☁️☁️☁️☁️ — как раз про ваши задачи.
🟦 K2 Cloud Conf — конференция про архитектуру, эксплуатацию, безопасность и развитие облачных платформ. Не теоретические рассуждения, а реальные инженерные решения — как устроено облако изнутри и какие проблемы приходится решать на практике.
🟦 На конференции инженеры K2 Cloud поделятся опытом развития облачной платформы — от архитектуры и эксплуатации до безопасности и платформенных сервисов.
📎 Подробности — в карточках.
📆 14 апреля 2026
📍 Москва (ЦДП) + онлайн
➡️ Принять участие в конференции
Реклама. АО "К2 Интеграция". ИНН 7701829110
